API 接口设计中 Token 类型的分类与设计
在实际的网站设计中我们经常会遇到用户数据的验证和加密的问题,如果实现单点,如果保证数据准确,如何放着重放,如何防止CSRF等等
其中,在所有的服务设计中,都不可避免的涉及到Token的设计。
目前,基于Token的生成方,我们把Token生成分为两种类型。
1、基于用户/网站,可见的加密请求方式
2、基于服务器间通讯的不可见加密请求方式(API Token)
其中,网页/APP访问又分为 登录态和非登录态 两种请求区别。
(非登录态请求要求用户访问页面时会随机生成唯一且有时效性的token,该token在每次请求时都是不同)
(登录状态中,token会保存一定的时间,页面中的token会作为用户身份识别)
虽说两者作用有一定的区别,但是实现的原理是相同的。
1、非登录状态
原理:
非登录状态中,防止服务器资源被重复利用,我们在前端页面中会添加一步建立初始Session的过程,该过程来确保下一步关键请求不被利用。
一般这种验证方式用于体验页面,如:视频播放页面,项目或功能展示页面等
优点:
目的就是有点,防止token被盗用,重复请求服务器资源(类似于抖音视频播放时的签名算法作用)
缺点:
所有前端加密都有被破解的可能,需要对具体的JS进行混淆,同时添加https和来源判断
2、登录状态
登录状态的Token
登录态token 通过服务器生成:
Encode(MD5({session}+{用户信息摘要}+{Timestamp})+TimeStamp)
联合Redis 刷新用户登录时长及token有效时长。Redis设置自动过期时间。
验证方法:
decode(Token)->sign+TimeStamp
if(sign===MD5({session}+{用户信息摘要}+{Timestamp})){
// XXXX
}
(防止弱语言的判断逻辑,验证PW和Token要用=== 强类型判断)
退出登录:删除Redis 键值
单点登录:重新登录时信息更新,用户信息摘要不变,自动刷新Redis的Token值和有效期
3、API 非对称加密
api的非对称加密常用于服务器之间的请求,双方各自保存私钥和公钥。API接口中常体现于【APP_ID,APP_KEY|APP_SECRET】
Token 生成算法:
/** * 生成token * @param $user_info string * @param $app_key string app_key * @param $app_id int app_id * @return string */ public function generate_access_token($user_info , $app_key, $app_id) { $time = time(); $sign = sha1($time . $advertiser_id . $app_key); $token = base64_encode("{$time},{$user_info },{$app_id},{$sign}"); return $token; }
Token解析方法:
解密的方法中对时效性做了一分钟的验证,实际项目中可以根据情况开放失效的设置。
/** * 解析token * @param $access_token * @return array */ public function analysis_access_token($access_token) { $token_array = base64_decode($access_token); $token_array = explode(',', $token_array); $time = $token_array[0]; $user_info = $token_array[1]; $app_id = $token_array[2]; $sign = $token_array[3]; if ($time < (time() - 60) || $time > (time() + 60)) { call_back(1101, 'Access Token expire !token=' . $access_token); } global $third_platform_app_key;// app_id-app_key对应表 if (!isset($third_platform_app_key[$app_id])) { call_back(1101, 'Access Token App id Error!token=' . $access_token); } $app_key = $third_platform_app_key[$app_id]; $local_sign = sha1($time . $user_info . $app_key); if ($local_sign === $sign) { return [ 'access_token' => $access_token, 'user_info' => $user_info, 'time' => $time, 'app_id' => $app_id, 'app_key' => $app_key, ]; } else { call_back(1101, 'Access Token Sign Error!token=' . $access_token); } }
改Token方式要求每次请求都需要生成新的token来确保请求的时效性
另外:为了加强API接口请求的完整性,我们也会对请求内容进行字段排序后摘要验证。(详情参考:https://open.taobao.com/docV2.htm?docId=101617&docType=1)
今天的普及到这里就结束啦,谢谢大家,也欢迎大家留言讨论。